WordPress 4.7.0 及 4.7.1 存在 REST API 的 0day 越权漏洞

摘要

小编提醒:WordPress 4.7.0 及 4.7.1 存在 REST API 的 0day(翻译:零日、零天) 越权漏洞,请尽快备份后升级 WordPress 程序到 4.7.2

小编提醒:WordPress 4.7.0 及 4.7.1 存在 REST API 的 0day(翻译:零日、零天) 越权漏洞,请尽快备份后升级 WordPress 程序到 4.7.2

如果发现你的 WordPress 文章被修改或删除,比如被加入恶意代码或者广告代码或者提示被黑入侵,那么请尽快升级你的 WordPress 程序到 4.7.2。

下图是小编被黑的部分截图(血的教训啊,还好资料没丢):

WordPress 4.7.0 及 4.7.1 存在 REST API 的 0day 越权漏洞 WordPress 4.7.0 及 4.7.1 存在 REST API 的 0day 越权漏洞 WordPress 4.7.0 及 4.7.1 存在 REST API 的 0day 越权漏洞

 

WordPress 4.7.0 及 4.7.1 发现了 REST API 的 0day 漏洞,若漏洞被黑客成功利用,可以绕过管理员权限对文章进行增删改查操作,导致文章被串改甚至丢失等风险。

 

过去几天,黑客利用 REST API 漏洞对 WordPress 网站发动攻击,纂改了 3.9 万域名的 150 万网页。漏洞允许攻击者发送一个简单的 HTTP 请求,绕过身份验证系统,编辑 WordPress 网页的标题和内容,它只影响 WordPress 4.7.0 和 4.7.1。安全公司 Sucuri 本周一报告,有 6.7 万个 WordPress 网页被利用这种方法涂改,但过去两天被纂改的网页数量出现了爆发式增长,攻击仍然在继续。

 

目前该漏洞已在北京时间2017年1月27号发布的 WordPress 4.7.2 中修复,但仍然有大量的用户没有升级。该安全更新修复了 WordPress 4.7.1 以及早期版本中存在的一些安全问题:

  • 向所有用户(包括无权限用户)显示新闻分类术语
  • WP_Query 在传递不安全数据时容易受到 SQL注 入(SQLi)的攻击。新版本添加了强化,以防止插件和主题意外导致漏洞。
  • 在帖子列表表中发现了跨站点脚本(XSS)漏洞。

 

如果你的网站出现内容被串改,正确的办法是:

  1. 备份后升级 WordPress 到最新版;
  2. 检查升级相关插件到 WordPress 最新版;
  3. 修改“主机管理密码”和“数据库密码”;
  4. 恢复被修改的文章:点击后台的“文章链接” > 右侧的“查阅”> 恢复到“指定版本”
  5. 删除被添加的文章。

 

Jeary Cheung
现货未拆封Apple/苹果 iPhone 6s 苹果6S 手机 苹果智能手机苹果6
国行【送壳+钢化膜】Apple/苹果 iPhone 6s Plus 5.5英寸全网通
iphone6 plus钢化膜苹果6s玻璃膜全覆盖手机贴膜全屏防爆蓝光超薄
阿里云ECS

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: